某日,销售接了一个电话,突然告诉我有个某单位服务器中了木马被黑,具体情况未知。由于客户那边比较急,于是我火速赶往客户现场。到现场,客户首先给我看了深信服防火墙拦截记录,显示内网三台机器被入侵。通过沟通了解,被黑服务器为客户微信端服务器,内网可直接与外网通信。事发后,客户自己做了处理,这个操作可能在一定程度上给溯源,理清攻击者入侵思路,造成了一定的障碍(可能黑客利用的程序被客户直接清除)。通过进一步了解,客户用的是phpstudy进行应用的搭建。而且从是2016年下载的版本一直用到现在。联想到前几天爆出的phpstudy供应链攻击。基本上已经确定服务器被黑的原因。

现场排查

找到服务器上phpstudy安装路径,在如下路径中对文件进行后门检查。

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

检查情况:

php\php-5.2.17\ext\路径下未发现php_xmlrpc.dll后门文件。

php\php-5.4.45\ext\路径下存在php_xmlrpc.dll后门文件。

于是想通过文件内容进行分析,但是发现文件打开失败,无法查看内容。通过文件属性判断出可能为木马或病毒文件(一般木马或病毒文件属性中详细信息都为空)。

木马文件:

正常文件:

本地后门文件分析:

内网排查

通过查看分析,其他几台机器未发现安装phpstudy程序,但是有几个共同特点:

1.未安装杀毒软件

2.未更新重要补丁(如ms17-010)

3.guest账号未禁用

于是帮他们安装了杀毒软件,手工结合工具进行分析,但是也没有发现有异常程序(中间过程有某卫士报的木马程序,进一步判断为误报)。这让我很奇怪,一般来说,应该总会留下点东西。

进一步分析发现其中一台被入侵的机器上存在大量登录成功和失败的日志记录。失败记录为administrator账号登录失败,应该是账号暴力破解。登录成功日志为guest账号,疑似通过guest账号默认空口令进行登录。

到了这里攻击者思路基本理清,但是攻击者的目的我还没有搞明白,按理说攻击者费了这么大的劲,不应该只是为了进行一次内网漫游吧。想到客户刚才提到服务器一直在下载东西被拦截,于是再次查看防火墙日志。至此,终于明白攻击者目的。

下载WannaMine挖矿木马

下载矿池:

总结

黑客攻击思路

首先黑客通过最新爆出的phpstudy后门获取服务器权限,在内网中发现内网服务器未安装杀毒软件,未更新重要补丁。系统Guest账号未禁用,导致被黑客利用。内网服务器从外部下载挖矿木马被深信服防火墙拦截。客户发现问题第一时间采取了断网措施,并进行了处理。避免事件进一步升级。

整改建议

删除phpstudy存在后门的版本程序

服务器安装杀毒软件

禁用来宾账号

更新系统补丁

记一次phpstudy应急响应的更多相关文章

  1. Linux应急响应姿势浅谈

    一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大 ...

  2. 一些关于Linux入侵应急响应的碎碎念

    近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个 ...

  3. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  4. Windows应急响应常识

    Windows 应急响应 常见事件ID 1102 清理审计日志 4624 账号登陆成功 4625 账号登陆失败 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启 ...

  5. Window应急响应(五):ARP病毒

    0x00 前言 ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见.发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚 ...

  6. Window应急响应(一):FTP暴力破解

    0x00 前言 ​ FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护.日常源码备份等.如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传 ...

  7. Window应急响应(二):蠕虫病毒

    0x00 前言 ​ 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序. 常见的 ...

  8. Window应急响应(三):勒索病毒

    0x00 前言 ​ 勒索病毒,是一种新型电脑病毒,主要以邮件.程序木马.网页挂马的形式进行传播.该病毒性质恶劣.危害极大,一旦感染将给用户带来无法估量的损失.这种病毒利用各种加密算法对文件进行加密,被 ...

  9. Window应急响应(四):挖矿病毒

    0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一.病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升 ...

随机推荐

  1. 迈克尔·乔丹:几百年内AI不会觉醒

    ​​ 此乔丹非飞人乔丹.他是研究统计学和计算机科学家,目前研究的领域正是普通人所说的人工智能.权威的学术搜索引擎Semantic Scholar在2105年做了一项排名,关于计算机科学领域谁最具影响力 ...

  2. 先治再扶,重灾区后的P2P你还敢投吗?

    ​ 互联网强大的包容性和创新性,给予很多新生事物成长的空间.而其全面普及与快速传播的特性,也让任何事物都像被放在放大镜乃至显微镜下,几乎无形遁形.这样一来,新生事物很容易被"神化" ...

  3. Flutter Widgets 之 BottomNavigationBar 和 BottomNavigationBarItem

    注意:无特殊说明,Flutter版本及Dart版本如下: Flutter版本: 1.12.13+hotfix.5 Dart版本: 2.7.0 BottomNavigationBar 和 BottomN ...

  4. js案例之使用正则表达式进行验证数据正确性

    #js案例之使用正则表达式进行验证数据正确性 代码上传至 "GitHub" 样例: <tr> <td>密码:</td> <td> & ...

  5. python 保存两位小数

    一.代码 import decimal decimal.getcontext().rounding = decimal.ROUND_HALF_UP def index(number): n = str ...

  6. Mysql报错:Authentication .....Reading from the stream has failed

    连接Mysql5.7版本的数据库出现报错:Authentication to host '171.13.164.***' for user 'root' using method 'mysql_nat ...

  7. Sentinel Slot扩展实践-流控熔断预警实现

    前言 前几天公司生产环境一个服务由于流量上升触发了 Sentinel 的流控机制,然后用户反馈访问慢,定位发现是 task 定时任务导致,后面 task 优化之后发布,流量恢复正常. 这是一个再正常不 ...

  8. 如何使用API提交转码任务?

    摘要: 当常规的转码工作流无法满足用户的场景时,需用户自己判断业务逻辑,并使用API提交转码任务.例如:并不是所有的视频都需要转码,不同视频需要设置不同的转码配置.本文将介绍API提交转码任务的方法. ...

  9. TCP/IP基础总结性学习(6)

    HTTP 首部 一. HTTP 报文首部 1.HTTP 报文的结构: 2.HTTP 请求报文 图示: 举例子: 3.HTTP 响应报文: 下面的示例是访问 http://hackr.jp 时,请求报文 ...

  10. pyppeteer基本使用demo

    # -*- coding: utf-8 -*- # 类似selenium,支持异步,不需要再单独安装环境,pyppeteer自动安装环境 # 异步await要写到一个函数的内部 from pyppet ...